You are on page 1of 6

¿QUÉ ES UNA MATRIZ DE RIESGO?

Una matriz de riesgo constituye una herramienta de control y de gestión normalmente
utilizada para identificar las actividades (procesos y productos) de una empresa, el tipo y
nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos
relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo
permite evaluar la efectividad de una adecuada gestión y administración de los riesgos que
pudieran impactar los resultados y por ende al logro de los objetivos de una organización.1



La matriz debe ser una herramienta flexible que documente los procesos y evalúe de
manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico
objetivo de la situación global de riesgo de una entidad. Aparte de lo ya mencionado la
matriz de riesgos constituye una herramienta clave en el proceso de supervisión basada en
riesgos, debido a que la misma nos permite efectuar una evaluación cualitativa o
cuantitativa de los riesgos inherentes de cada actividad en estudio y la determinación del
perfil de riesgo del proceso.


Los beneficios de la matriz entre otros, son los siguientes:

 Permite la intervención inmediata y la acción oportuna.

 Evaluación metódica de los riesgos.

 Promueve una sólida gestión de riesgos en las organizaciones.

 Monitoreo continuo.



De esta manera la matriz de riesgo permite establecer de un modo uniforme y consistente el
perfil de riesgo de cada una de los proceso y permite profundizar en el propósito de
establecimiento de planes de supervisión a fin de que se ajusten a las características
específicas de cada organización.






Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los
cuales influyen de distinta forma en los resultados esperados.
La capacidad de identificar estas probables eventualidades, su origen y posible impacto
constituye ciertamente una tarea difícil pero necesaria para el logro de los objetivos. En el
caso específico de las entidades de intermediación financiera, el desempeño de estas
instituciones depende de la gestión de los riesgos inherentes a su actividad, tales como
riesgos de crédito, mercado, liquidez, operativo, entre otros, algunos de ellos de compleja
identificación y de difícil medición.
En los últimos años las tendencias internacionales han registrado un importante cambio de
visión en cuando a la gestión de riesgos: de un enfoque de gestión tradicional hacia una
gestión basada en la identificación, monitoreo, control, medición y divulgación de los
riesgos. El siguiente cuadro muestra la diferencia entre el modelo tradicional y el nuevo
enfoque de evaluación de la gestión de riesgos, según las últimas tendencias:




ESQUEMA ANTERIOR ENFOQUE NUEVO
La evaluación de riesgo es histórica y se
desempeña eventualmente.
La evaluación de riesgo es continua y
recurrente.
La evaluación de riesgo detecta y reacciona. La evaluación del riesgo anticipada y
previene.
La evaluación de riesgos se enfoca en las
transacciones financieras y los controles
internos.
La evaluación de riesgos se enfoca en la
identificación, medición y control de
riesgos, velando que la organización logre
sus objetivos con un menor impacto de
riesgo posible.
Cada función es independiente. Pocas
funciones tratan de la evaluación de riesgo.
La evaluación de riesgo está integrada en
todas las operaciones y líneas de negocios.
No hay una política de evaluación de riesgo. La política de evaluación de riesgo es
formal y claramente entendida.



¿QUÉ ELEMENTOS DEBEN CONSIDERARSE EN EL DISEÑO DE UNA
MATRIZ DE RIESGO?

A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos debe
desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a
los cuales están expuestas; entendiéndose como riesgo la eventualidad de que una
determinada entidad no pueda cumplir con uno o más de los objetivos.





Grafica
FASES DE LA ELABORACIÓN DE UNA MATRIZ DE RIESGO.




































Consecuentemente, una vez establecidas todas las actividades, se deben identificar las
fuentes o factores que intervienen en su manifestación y severidad, es decir los llamados
“factores de riesgo o riesgos inherentes”. El riesgo inherente es intrínseco a toda actividad,
surge de la exposición y la incertidumbre de probables eventos o cambios en las
condiciones del negocio o de la economía que puedan impactar una actividad. Los factores
o riesgos inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo
algunos más relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los
riesgos primarios. Los riesgos inherentes al negocio de las entidades financieras pueden ser
Objetivos estratégicos
del negocio
Identificación de
riesgos
Factores de Riesgo
Probabilidad de
ocurrencia y
valorización
Evaluación de Controles
Internos.
Riesgo Neto o Residual
Decisiones sobre el
Riesgo Neto
clasificados en riesgos crediticios, de mercado y liquidez, operacionales, legales y
normativos estratégicos.

El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un
cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La
valorización del riesgo implica un análisis conjunto de la probabilidad de ocurrencia y el
efecto en los resultados; puede efectuarse en términos cualitativos o cuantitativos,
dependiendo de la importancia o disponibilidad de información; en términos de costo y
complejidad la evaluación cualitativa es la más sencilla y económica.

La valorización cualitativa no involucra la cuantificación de parámetros, utiliza escalas
descriptivas para evaluar la probabilidad de ocurrencia de cada evento.
En general este tipo de evaluación se utiliza cuando el riesgo percibido no justifica el
tiempo y esfuerzo que requiera un análisis más profundo o cuando no existe información
suficiente para la cuantificación de los parámetros. En el caso de riesgos que podrían
afectar significativamente los resultados, la valorización cualitativa se utiliza como una
evaluación inicial para identificar situaciones que ameriten un estudio más profundo.
La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de escalas
cualitativas, para estimar la probabilidad de ocurrencia de cada evento, procedimiento que
definitivamente podría brindar una base más sólida para la toma de decisiones, ésto
dependiendo de la calidad de información que se utilice.


Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso del
trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse que si bien la
valoración de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo,
también se utiliza un soporte cuantitativo basado en una estimación de eventos ocurridos en
el pasado, con lo cual se obtiene una mejor aproximación a la probabilidad de ocurrencia
del evento.

La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que
podría ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o
alta(5)), dependiendo de la combinación entre impacto y probabilidad.

Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la
gestión”, a fin de determinar cuán eficaces son los controles establecidos por la empresa
para mitigar los riesgos identificados. En la medida que los controles sean más eficientes y
la gestión de riesgos pro-activa, el indicador de riesgo inherente neto tiende a disminuir.
Por ejemplo una escala de valoración de efectividad de los controles podría ajustarse a un
rango similar al siguiente:

Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5
Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre el grado
de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida
por la administración. A partir del análisis y determinación del riesgo residual los
administradores pueden tomar decisiones como la de continuar o abandonar la actividad
dependiendo del nivel de riesgos; fortalecer controles o implantar nuevos controles; o
finalmente, podrían tomar posiciones de cobertura, contratando por ejemplo pólizas de
seguro. Esta decisión está delimitada a un análisis de costo beneficio y riesgo.

EJEMPLO:

INSTRUCTIVO PARA EL LLENADO DE LA MATRIZ DE ADMINISTRACIÓN

Identificación de riesgos:

(1) Tipo de Proceso: En este espacio debe de definirse el tipo de proceso al que
corresponde, Gerenciales/Estratégico, Apoyo y Evaluación.

(2) Proceso: Indicar el nombre del proceso.

(3) Objetivo: Hace referencia al objetivo del proceso.

(4) Procedimiento: Escribir el nombre del procedimiento relacionado con el proceso
objeto de análisis.

(5) Actividades: Escribir las actividades correspondientes al procedimiento en las
cuales se identifican los factores de riesgos.

(6) Clasificación del Riesgo: Durante el proceso de identificación del riesgo se
recomienda hacer una clasificación de los riesgos, con el fin de establecer con
mayor facilidad el análisis del impacto, teniendo en cuenta los siguientes conceptos:

Riesgo Estratégico: Se asocia con la con la forma en que se administra la organización.

Riesgo de Imagen: Están relacionados con la percepción y la confianza por parte de los
externos hacia la organización.

Riesgo Operativo: Comprenden riesgos provenientes del funcionamiento y operatividad
de los sistemas de información de la organización.

Riesgo Financiero: Se relaciona con el manejo de los recursos de la organización.

Riesgo Tecnológico: Están relacionados con la capacidad de tecnológica de la
organización para satisfacer sus necesidades.

(7) Causa: Son los medios, las circunstancias y agentes generadores de riesgo.

(8) Descripción del riesgo: Se debe describir los riesgos que puedan afectar el normal
desarrollo de las actividades de acuerdo a las causas identificadas.

(9) Probabilidad: Se entiende la posibilidad de ocurrencia del riesgo esta puede ser
medida con criterios de frecuencia.

TABLA DE PROBABILIDAD

Nivel Descriptor Descripción Frecuencia
3
Casi
seguro
Se espera que el evento ocurra en la mayoría de
las circunstancias
Más de una vez al
año
2 Posible El evento podría ocurrir en algún momento
Al menos 1 vez en
los últimos 2 años
1 Raro
El evento puede ocurrir solo en circunstancias
excepcionales
No se ha presentado
en los últimos 5
años


(10) Impacto: Se entiende las consecuencias que pueden ocasionar a la
organización la materialización del riesgo.

TABLA DE IMPACTO

IMPACTO
No
.
Rango Descripción
3 Severo
Si el hecho llegara a presentarse, tendría alto impacto o efectos sobre la
entidad.
2
Moderad
o
Si el hecho llegara a presentarse, tendría mediano impacto o efectos sobre
la entidad.
1 Leve
Si el hecho llegara a presentarse, tendría bajo impacto o efectos mínimos
sobre la entidad.


(11) Alcance: Se determina el área de afectación por la materialización del
riesgo. Eventos que suceden puntualmente y que se pueden tratar dentro de los limites
donde se ejecutan las actividades propias del procedimiento.

(12) Calificación: Resultado de la fórmula matemática de la calificación entre los
resultados de la probabilidad VS impacto VS alcance, la cual posteriormente permitirá
indicar la zona de riesgo en la cual se clasificara el riesgo.